Connexion
Abonnez-vous

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

Le 01 mars 2023 à 07h43

On pouvait s’en douter au vu des éléments passés, c’est maintenant confirmé par un nouveau billet de LastPass sur sa fuite de données : l’ordinateur personnel d’un développeur avait été piraté.

Plus précisément, c’est lors d’une deuxième phase d’attaque, en octobre dernier, que les pirates sont partis en reconnaissance de l’infrastructure de LastPass. Ils ont ensuite ciblé l’ordinateur personnel d’un ingénieur DevOps senior et profité d’une faille non colmatée dans un logiciel tiers.

La faille était suffisamment béante pour permettre l’exécution d’un code arbitraire à distance, soit le pire des scénarios. Les pirates en ont profité pour installer un keylogger, permettant d’enregistrer la frappe au clavier, et donc de récupérer les précieux identifiants pour la suite.

Avec ces derniers, les malandrins ont pu accéder à un stockage cloud partagé réservé à seulement quatre employés, une véritable aubaine. Selon LastPass, cet accès a été d’autant plus difficile à détecter qu’il utilisait des identifiants légitimes. Jusqu’à ce que les pirates tentent une action non autorisée, déclenchant des alertes d’AWS, utilisé pour le cloud de l’entreprise. Mais il était trop tard, comme on le sait déjà.

On remarquera que ce type d’exploitation était au cœur d’un document fourni par Microsoft en décembre sur les limites de la double authentification. L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.

Le 01 mars 2023 à 07h43

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pour ceux qui l’auraient manqué, LastPass c’est ce niveau de compétence : https://infosec.exchange/@epixoip/109585049354200263

votre avatar

Et Tavis Ormandy (de l’équipe Project Zero de Google) pointait la faiblesse de LastPass et Dashlane dès 2016… Les leçons n’ont pas été tirées.



https://www.numerama.com/tech/189111-mots-de-passe-apres-lastpass-la-securite-de-dashlane-mise-a-mal.html

votre avatar

Moral de l’histoire : mettez à jour vos logiciels :D




Jean_G a dit:


Et Tavis Ormandy (de l’équipe Project Zero de Google) pointait la faiblesse de LastPass et Dashlane dès 2016… Les leçons n’ont pas été tirées.



https://www.numerama.com/tech/189111-mots-de-passe-apres-lastpass-la-securite-de-dashlane-mise-a-mal.html


tu penses quoi de dashlane maintenant?

votre avatar

Un PC de dev est un PC à trous… Entre “oui, j’ai besoin de telle version de logiciel de 2007 car c’est la seule compatible avec mon bordel de code que j’ai pas mis à jour en suivant les évolution de l’environnement de dev car ça prend trop de temps”, ou “oui, j’ai besoin de ce logiciel forké par 1 péon dans son garage plus maintenu depuis 5 ans”, c’est horrible…

votre avatar

“Et j’ai besoin des droits d’admin pour faire tourner le tout…. “. CQFD.

votre avatar

Ah oui un grand classique…

votre avatar

En l’occurence, d’après ars technica, son pc avait plex d’installé, donc soit c’était son pc perso, soit il a installé des trucs persos sur son pc de boulot ?
arstechnica.com Ars TechnicaBref, quand on bosse dans une boite de sécu, là, c’est une faute professionnelle.



Lastpass a quand même le mérite d’être transparent sur ses incidents de sécu, bien plus en tout cas que certaines boîtes.

votre avatar

ça ressemble à un dev qui avait les droits d’admin sur son PC et qui donc installait ce qu’il voulait du coup.

votre avatar

C’est sûr qu’avec ce genre de postulat, on arrive au final avec des PC de développeur tellement blindés de limitation qu’on ne peut plus passer une journée sans appeler le support pour une mise à jour ou pour un oui ou un non.



Bien qu’il est normal de ne pas être administrateur sur sa session par défaut, on devrait peut-être éviter de tout verrouiller. Et c’est sans parler des divers outils de scans, incluant l’anti-virus qui prennent 30% de CPU en permanence (sauf un jour dans la semaine où c’est 80% car il faut faire un full scan)



Et après on s’étonne que certains cherchent des contournements ou utilisent leur PC personnel pour travailler dans des conditions acceptables.



Par rapport à cette news, on apprend dans l’article en anglais que c’est le PC personnel à la maison du développeur qui a été piraté via un logiciel tiers (quelqu’un ici à cité Plex, donc un serveur ouvert sur Internet) ce qui n’est déjà pas le genre de truc installé en entreprise et encore moins en rendant une application local accessible depuis Internet.



L’exploitation de cette faille a permis d’installer un keylogger.
Et finalement, le développeur avait sur son PC perso la base des mots de passe des comptes de l’entreprise pour accéder à AWS. Le keylogger a permis de récupérer le mot de passe maître puis il a exporté les données pour récupérer tous les mots de passe.



Bref, aucun rapport avec un PC de développeur en entreprise pour lequel on aurait cédé à ses caprices.

votre avatar

On est d’accord qu’il faut trouver le bon niveau. Cependant, vu le contexte cyber ces dernières années, il est impossible de donner des droits admins à un user sur son compte principal. Il faut un système d’escalade de privilège via des comptes de tiering level 2. Avoir des devs qui sont full admin sur leur poste c’est une peu jouer à la roulette Russe avec une balle alors si en plus on autorise des OS que l’on est pas en capacité de manager faute de temps/ressources, tu peux rajouter une balle et même en rajouter une troisième si dans l’équation tu autorise la personne à travailler avec son poste perso …



Manager un parc et la sécu qui en découle en entreprise c’est faire des choix. Ces choix ne peuvent pas plaire à tout le monde ça s’entend. Cependant, le monde de l’entreprise c’est pas yolo non plus. Si le salarié n’est pas content avec la stratégie de l’entreprise sur les Workstation, il est libre d’aller dans une enterprise aligné sur son souhait.

votre avatar

Quand les ayatollahs retranchés dans leurs tours d’ivoire des DSI admettront enfin qu’il pourrait y avoir des profils intermédiaires entre “utilisateur complètement bridé” et “administrateur total”, peut-être qu’il y aura moins de tentations de shadow IT ou de contournements…



Et puis LOL le choix du poste en fonction de la stratégie (potentiellement fluctuante) d’administration du poste de travail.



Faudrait un peu sortir la tête de ses empilements de GPO….

votre avatar

il pourrait y avoir des profils intermédiaires entre “utilisateur complètement bridé” et “administrateur total”


Ça existe sur windows ?

votre avatar

C’est tout le drame de la gestion actuelle par les DSI, l’informatique est un outil avec des possibilités de réglages très variées, mais gérée par des gens totalement binaires !



Bien sûr qu’il peut y avoir différents profils sous Windows, par groupe ou même différent pour chaque utilisateur. Par contre ça nécessite un peu plus d’analyse et de réflexion que le GPO “tout est interdit”.

votre avatar

ça tombe bien on a pas de GPO. On ne peut pas en faire sur Azure AD. Les utilisateurs sont libres sur leur poste. Ils ont juste pas le droit Administrateur. Si les applications (codés avec le c…) faisaient un peu d’effort pour ne pas demander des droits d’admin à l’installation et se déployer dans le contexte users que Windows sait gérer depuis de nombreuses années, on n’en serait pas à lire des commentaires de personne qui veulent By pass la sécurité pour déployer des softs troués comme un Plex … Ho wait ! :mad2:

votre avatar

Donc le support qui lance un gpupdate /force à chaque intervention, c’est juste pour le plaisir ?



Il n’y a pas que la question de l’installation des logiciels, mais aussi de certains paramètres pour des métiers spécifiques.



Dans mon cas, j’avais besoin de changer l’adresse IP selon les machines industrielles sur lesquelles je dois me connecter. Profil Administrateur uniquement pour changer l’IP, profil interdit hors DSI. Proposition d’une liste d’IP prédéfinie associée à certains profils : refusé, DHCP uniquement. Proposition d’utiliser un adaptateur USB-Ethernet sur des postes identifiés : interdit. Résultat : achat d’un PC “pirate” hors DSI…

votre avatar

Je ne sais pas où en est Dashlane, et je ne répondrai pas sans étudier le sujet, on est sérieux dans cette boutique ! Ca pourrait être d’ailleurs le sujet d’un test détaillé sous forme d’article (note à moi-même)… Néanmoins je pense qu’un coffre fort de mots de passe codes secrets en ligne est une mauvaise idée à cause de la centralisation des infos : un outil de ce type est clairement une cible de choix pour un attaquant, ce qui implique que du côté du fournisseur du logiciel, il faut être irréprochable (on le voit bien avec Lastpass dont le processus de qualité ne semble pas être au niveau). Voir aussi l’article de Vincent.

votre avatar

L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.


Je ne sais pas si c’est une bonne idée/pratique, mais dans ma boîte pour certains accès, on demande l’autorisation d’un tiers (voire de deux). Une fois que l’accès est validé, l’utilisateur peut faire l’action. Par contre on n’a pas mis de limite dans le temps, je trouve que c’est dommage car une action peut restée invalidée pendant des siècles.

votre avatar

Ca me semble être une bonne pratique. Idéalement toute action critique ne devrait être faisable qu’après validation par plusieurs individus. Ca permet exactement d’éviter que tout foute le camp si un compte avec des droits admin est compromis.



Une expiration pourrait être plus propre oui, surtout si la confirmation est vulnérable au brute force. Par exemple s’il s’agit de cliquer sur un lien unique envoyé par email et ne vérifiant pas l’authenticité de la personne qui le clique (en gros si le lien est accessible et effectif sans être connecté).

votre avatar

Tous ces gestionnaires sont une vaste arnaque, donner ses mots de passe à un service tier est une aberration, Keepass est la seule solution viable car offline. Au pire utilisez les gestionnaires des GAFAM, au moins chez eux la sécurité est quasi certaine

votre avatar

Côté Dashlane, ils sont en train d’ouvrir leur code source :
https://blog.dashlane.com/fr/le-code-mobile-de-dashlane-est-desormais-accessible-au-public/

votre avatar

Faut que je change tous mes mots de passe… :craint:



Y’en a qui ont essayé Passbolt ? L’alternative a bitwarden auto hébergeable aussi. :zarb:

votre avatar

L’accès n’était pas protégé par une clé de sécurité physique ? Vu la criticité, c’est une sécurité assez faible. Même à ce niveau la, il faudrait un pc / environnement bastion

votre avatar

Ha bha tiens je suis en plein dedans au taf. On a défini notre cible à Windows 11 + WSL 2 pour éviter les postes en Linux non managés avec X distrib différentes des devs. Bon on a le grand classique du “Windaube c’est de la m… C’est pas fait pour les dev) mais aussi et surtout le ” comment je vais faire si je suis plus admin”



L’article tombe à pic 😁

votre avatar

Kiroha a dit:


Ha bha tiens je suis en plein dedans au taf. On a défini notre cible à Windows 11 + WSL 2 pour éviter les postes en Linux non managés avec X distrib différentes des devs. Bon on a le grand classique du “Windaube c’est de la m… C’est pas fait pour les dev) mais aussi et surtout le ” comment je vais faire si je suis plus admin”


Soupir… En se ventant d’ignorer les retours pertinents.



Comme expliqué par MS la solution est un système de contrôle d’accès bien conçu. Forcer des devs qui n’en veulent pas à utiliser Windows ne règlera rien.

votre avatar

Qui te dit que notre contrôle d’accès n’est pas bien conçu ? Tu fais des raccourcis sur le fait que l’on est choisi notre cible sur Windows. Je peux soupirer autant que toi sur ton commentaire



Tu ne connais pas la taille de nos équipes et encore moins le secteur dans lequel je travail. On a évalué plusieurs solutions et celle qui correspond le plus en termes d’adaptabilité/manageabilité/cout/ecosystème par rapport à la taille des équipes et c’est Windows qui a gagné.



Croire que Linux est la réponse universelle à chaque fois, il va falloir changer de disque un peu.

votre avatar

SI des devs sont pas contents, c’est que le système de contrôle d’accès n’est pas bien conçu :langue:.



Généralement, ce genre de contrainte se résout par un contournement des dites contraintes et du coup une sécurité fortement affaiblie…

votre avatar

donwar a dit:


Tous ces gestionnaires sont une vaste arnaque, donner ses mots de passe à un service tier est une aberration, Keepass est la seule solution viable car offline. Au pire utilisez les gestionnaires des GAFAM, au moins chez eux la sécurité est quasi certaine


Ouais, non, pas KeePass non plus, à cause de cette vulnérabilité :
Ask JJX: What About the KeePass Vulnerability? - Packet Pushers




The short version is that researchers uncovered a vulnerability where a malicious user can export all passwords in cleartext. The act requires a simple modification to a local config file. Once set, the next time an authorized user logs in, KeePass will silently generate the cleartext password file, the user never the wiser. Just in case that wasn’t clear — your passwords can all get output to cleartext without you knowing. No bueno.


+ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
https://nvd.nist.gov/vuln/detail/CVE-2023-24055

votre avatar

Kiroha a dit:


Tu fais des raccourcis sur le fait que l’on est choisi notre cible sur Windows.


C’est ton commentaire à la base qui rapporte les retours en interne, je n’invente rien.




Kiroha a dit:


Croire que Linux est la réponse universelle à chaque fois, il va falloir changer de disque un peu.


Je ne pense pas n’avoir jamais vu ça nulle part. En revanche l’IT qui croit qu’il améliore la sécurité en imposant à tout le monde un environnement Windows managé c’est vieux comme papa.

votre avatar

Ce qui est honteux chez Lastpass c’est qu’ils ont mis quatre mois à enfin préciser et diffuser le niveau d’exposition et de vulnérabilité a leur clients. La brèche date de fin octobre et les instructions et recommandations ont enfin été envoyées cette semaine.

votre avatar

un ingénieur DevOps senior


Donc dev ou ops, pourquoi vous pensez tous que c’est obligatoirement un dev ?

votre avatar

Non, pas “ou” mais “et”. C’est le concept même du DevOps de faire les 2. Donc, oui, c’est un développeur.

votre avatar

(reply:2122272:Trit’)


Quand quelqu’un a accès à ta machine en local pour modifier ce fichier, c’est déjà perdu, Keepass ou pas. Donc si, Keepass est une bonne idée et beaucoup plus sûr que pas mal d’autres solutions, même si elle ne reste pas aussi pousser que d’autres.



cf. ton second lien




the vendor’s position is that the password database is not intended to be secure against an attacker who has that level of access to the local PC.


votre avatar

(reply:2122272:Trit’)


nextinpact.com Next INpact




earendil_fr a écrit :
Pour information, il semble que l’auteur a fait une modification en version 2.53.1 et maintenant, il demande le mot de passe tout le temps quand on fait un export


https://keepass.info/news/n230109_2.53.html




Removed the ‘Export - No Key Repeat’ application policy flag; KeePass now always asks for the current master key when trying to export data.


Du coup, problème résolu depuis le 8 février

votre avatar

misocard a dit:


Du coup, problème résolu depuis le 8 février


Tant mieux, alors !

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

Fermer